漏洞扫描是一种主动的防范措施,可以有效避免黑客攻击行为,防患于未然。通过对网络的扫描,可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。
中研院软件测评可提供专业的漏洞扫描服务,以报表的形式对扫描结果进行分析、验证、比对漏洞的真实存在,并且提供相应的漏洞解决方案,方便管理员对主机和应用的安全进行检查和分析,及时修复漏洞。
漏洞扫描服务包括但不限于:
(1)主机环境漏洞扫描
(2)Web系统漏洞扫描
(3)数据库漏洞扫描
主要服务流程如下:
(1)客户签订委托文件
(2)与客户沟通确定漏洞扫描的曰期、漏洞扫描的具体范围
(3)编写制定《信息系统漏洞扫描用户授权书》、《信息系统漏洞扫描方案》
(4)实施并完成《漏洞扫描服务报告》、漏洞验证比对
(5)协助客户完成漏洞的修复
漏洞扫描实施流程:
(1)扫描方案确定,开始执行扫描任务,按照客户的扫描要求配置漏洞扫描策略
进行扫描
(2)端口扫描阶段,本阶段主要是对目标对外开放的端口和服务进行扫描,从而
收集相关的信息
(3)主机漏洞扫描阶段,本阶段主要是对目标的主机环境进行安全扫描
(4)Web漏洞扫描阶段,本阶段主要是对目标的 Web系统进行安全扫描
(5)数据库漏洞扫描阶段。本阶段主要是对目标的数据库系统进行安全扫描
(6)根据以上阶段内容总结编写《漏洞扫描服务报告》
渗透测试(Penetration Test)是指安全渗透测试者尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/系统/主机/应用的安全性作深入的探测,发现系统最脆弱的环节的过程。
客户委托是中研院软件测评进行渗透测试的必要条件。我公司将尽最大努力做到使客 户对渗透测试所有细节和凤险的知晓、所有过程都在客户的控制下进行。这也是我公司的专业 服务与黑客攻击人侵的本质不同。
主要流程如下:
1、信息收集分析,有针对性地制定入侵攻击的计划。信息收集的方法包括主机网络扫描、端口扫描、操作类型判别、应用 判别、账号扫描、配置判别等等
2、依据制定的人侵计划进行渗透测试。入侵攻击常用的工具包括 nmap、sqlmap 、burpsuit等
3、渗透测试结果输出。渗透测试的结果将以报告(《渗透测试报告》)的形式提交,渗透测试也将作为综合安全评估的一个重要数据来源